Lav_8 网关冗余

Lab_8 网关冗余

Proxy ARP+ICMP重定向... 2

HSRP. 6

VRRP. 14

GLBP. 14


Proxy ARP+ICMP重定向

clip_image002

实验环境

clip_image004

clip_image006

clip_image008

PC不设置网关 ping 3.3.3.3

clip_image010

clip_image012

clip_image014

clip_image016

首先PC发送ARP请求 广播 询问3.3.3.3的MAC

clip_image018

R2也收到请求,回复PC 我就是3.3.3.3

clip_image020

R3也收到请求,同样回复PC 我就是3.3.3.3

这样 当直连线路down掉的时候 PC只要等到ARP表老化,来实现冗余

但默认ARP表老化时间是4个小时

clip_image022

可以通过命令来修改

clip_image024

参考文章:http://spccie.blog.51cto.com/1088987/268901

2.代理ARP
“什么是代理ARP?代理ARP就是通过使用一个主机(通常为router),来作为指定的设备对另一设备的ARP请求作出应答。”这个可以说是一个官方解释了。大家可以用同一个拓扑来验证一下,在这里我们最常使用Router关闭路由功能来模拟成PC完成这个实验(左方PC为路由器模拟,在做此实验前请把前一实验的ARP信息清除,建议重启):
clip_image026
PC上不配置默认网关,此时用PC去ping 192.168.1.2和10.1.1.3。会得到以下ARP表
clip_image028
由此可见,PC发出ARP请求10.1.1.3的MAC地址,R2以自己的FastEthernet0/0口地址代理R3去回应PC,告诉PC自己的FastEthernet0/0就是10.1.1.3的MAC地址。
结论:有默认网关的的时候PC按默认网关走,没有默认网关的时候路由器通过代理ARP完成通信。
到目前为止一切都看起来那么的合理,那么的顺利。这个实验是一些培训班常做的实验之一。其实,错了!
问题出在哪里?问题就出在我们是用一台路由器去模拟PC。不管是否关闭路由功能,它始终不是PC,它处理数据的方式与PC也不一样。请大家思考一下,如果是一台PC,在没有默认网关的情况下去ping一个非本网段地址,会出现什么情况?
clip_image030
在没有默认网关的情况下ping一个非本网段地址,显示目标网络不可达,然后直接丢包,根本不会发出ARP查询。
PC在什么时候会发出ARP查询呢?ping一个本网段地址的时候(大家可以抓包来验证一下)。其实就是思科文档的这种情况了:
clip_image032
看清楚了,PC-A的IP地址是/16位,PC-D的IP地址是/24位,所以当PC-A去ping PC-D的时候,PC-A认为是ping同一个网段,会发出ARP请求,这个时候ARP请求就到了路由器上了。路由器如果开启了代理ARP功能,会代替PC-D给PC-A回应,告诉PC-A路由器的e0口MAC地址00-00-0c-94-36-ab就是PC-D的MAC地址,完成代理ARP操作,保护了PC-D的MAC地址隐私。
我认同这种说法,是合情合理的。但是不禁有个问题,谁会用这么脑残的方法配置IP地址呢?好吧,就当是有。
以下转自鸟哥的Linux私房菜:
“如果你一�_始�O�的�W路�h境就是同一�� C class 的�W域,例如 192.168.10.0/24 , 後�硪�槟承┮蛩乇仨�要�⒛承┲�C搬到比�^�炔康沫h境中,例如�D一的 PC2 ~ PC4 。 然後又因�槟承┮蛩兀�所以你不能�更 PC2 ~ PC4 的 IP ,也就是�f,有�c像底下�@�拥�D示:”
clip_image034
代理ARP作为这种特殊情况的解决方案是无可厚非的,但是按道理说这种情况万中无一。既然这种情况出现的概率那么低,为什么要把代理ARP设置为默认启动?这不是浪费资源吗?还存在ARP欺骗等安全隐患,完全可以把代理ARP功能设置为默认关闭。

----------------------------------------------------------------------------------------------------------------------

如果是上行链路down掉的话 则可依靠ICMP重定向来完成上行链路的冗余

默认情况下 Proxy ARP和ICMP重定向是开启的

clip_image036

下面来看一下ICMP的重定向

首先down掉R1的F0/1接口 然后再ping 3.3.3.3

clip_image038

PC 查MAC表发现 3.3.3.3的MAC是R1 将发送ICMP包到R1,但此时R1无法到达3.3.3.3则R1发送一个ARP重定向给PC告诉PC R2就是3.3.3.3,于是PC发送ARP广播 问谁是R2,并把网关指向R2

clip_image040

clip_image042

clip_image044

clip_image046

clip_image048

关闭ICMP重定向

clip_image050

清除ICMP重定向

HSRP (Hot  standby  redundancy protocol)热备份冗余协议 (cisco私有)

作用:解决路由器切换问题。

1、HSRP在2个或多个路由器间虚拟MAC和虚拟IP,主机的网关设为此虚拟IP.

2、当活动路由器失效,备份路由器成为活动路由器。

3、实际可能有多个热备组并存或重叠,每个组模仿一个虚拟路由器工作(一组MAC和ip),把主机分到不同热备组中,可做负载分担

工作原理:

HSRP协议利用优先级,决定哪个路由器为主动路由器,(路由器缺省优先级为100)

一段时间收不到主动路由器的Hello,优先最高的备份路由器成为主动。

Active Router                  

虚拟出一条Router,有ip有Mac,当向这个Mac发包时,Active会去接受处理

Standby Router

HSRP定义了一个形如0000.0c07.acxx的特殊MAC地址,其中xx代表用来两个十六进制位表示的HSRP组号.

clip_image052

decrementvalus,当active当了,默认减少优先级10.以便standby成为active.所以要考虑下减少值和两个的优先级差多少。

相同优先级,最高ip者为Active  

clip_image054

HSRP包

1、Hello-------------作用通知优先级,和状态信息。

包含----priority,hello间隔,holdtime,虚拟网关ip

hello包3s发向组播地址224.0.0.2(所有路由器)----在一个组内只有两台路由器(active,standby)发hello, 15秒收不到Active的包认为其失效,standby→Active,priority高的为Active , standby preempt 开启抢占,Active 当了再启会自动抢回来。

2、Coup------------当一个备份路由器变成主动路由器时发Coup消息

3、Resign------当主动路由器要当机或当有优先级更高路由器发hello时,主动路由器发一个resign消息。

clip_image056

HSRP路由器6种状态:

clip_image058

                        Initial-------HSRP启动时候,HSRP还没运行,一般在改变配置或端口刚刚启动时进入此状态。

learn--------路由器得到了虚拟IP,但不是活动路由器也不是备份路由器。

                        listen--------监听hello消息

                        speak-----并参加活动,备份路由器选举。

                        standby------该状态下,路由器定期发hello,主路由器失效时,路由器准备接替传输功能。

                        Active--------路由器执行数据传输。

R1(config-if)#standby 1 ip 10.1.1.101

R1(config-if)#

06:26:07: SB: Add registration.

06:26:07: SB: Open UDP socket.

06:26:07: SB: Create hot standby process.

06:26:07: SB: Starting up hot standby process

R1(config-if)#

06:26:10: SB: Fa0/0 Interface up

06:26:10: SB1: Fa0/0 Init: a/HSRP enabled

06:26:10: SB1: Fa0/0 Init -> Listen

(因为已经配置了Vip所以不需要学习直接跳到listen)

06:26:10: SB: Fa0/0 Sbstate adv start

06:26:10: SB: Fa0/0 Sbstate adv out, Passive, active 0 passive 1

R1(config-if)#

06:26:19: SB: Fa0/0 Sbstate adv out, Passive, active 0 passive 1

06:26:20: SB1: Fa0/0 Listen: c/Active timer expired (unknown)

06:26:20: SB1: Fa0/0 Listen -> Speak

06:26:20: SB1: Fa0/0 Hello out 10.1.1.1 Speak pri 100 ip 10.1.1.101

R1(config-if)#

06:26:23: SB1: Fa0/0 Hello out 10.1.1.1 Speak pri 100 ip 10.1.1.101

R1(config-if)#

06:26:25: SB1: Fa0/0 Hello out 10.1.1.1 Speak pri 100 ip 10.1.1.101

R1(config-if)#

06:26:28: SB1: Fa0/0 Hello out 10.1.1.1 Speak pri 100 ip 10.1.1.101

06:26:28: SB: Fa0/0 Sbstate adv out, Passive, active 0 passive 1

R1(config-if)#

06:26:30: SB1: Fa0/0 Speak: d/Standby timer expired (unknown)

06:26:30: SB1: Fa0/0 Speak -> Standby

06:26:30: %STANDBY-6-STATECHANGE: Standby: 1: FastEthernet0/0 state Speak -> Standby

06:26:30: SB1: Fa0/0 Hello out 10.1.1.1 Standby pri 100 ip 10.1.1.101

06:26:30: SB1: Fa0/0 Standby: c/Active timer expired (unknown)

06:26:30: SB1: Fa0/0 Active router is 10.1.1.1

06:26:30: SB: Fa0/0 Add active hash 10.1.1.1 (vIP 10.1.1.101)

06:26:30: SB: Fa0/0 Sbstate adv out, Passive, active 0 passive 1

06:26:30: SB: Fa0/0 Sbstate adv out, Active, active 0 passive 1

06:26:30: SB1: Fa0/0 Standby -> Active

06:26:30: %STANDBY-6-STATECHANGE: Standby: 1: FastEthernet0/0 state Standby -> Active

R1(config-if)#

06:26:30: SB: Fa0/0 Sbstate adv stop

06:26:30: SB: Fa0/0 Sbstate adv out, Active, active 1 passive 0

06:26:30: SB1: Fa0/0 Hello out 10.1.1.1 Active pri 100 ip 10.1.1.101

在启用HSRP时可以只在一台设备上配置VIP,其他设备可以通过hello包学习到,但不能参加active选举

clip_image060

R2(config-if)#standby 10 ip

R2(config-if)#

00:28:43: SB: Open UDP socket.

00:28:43: SB: Create hot standby process.

00:28:43: SB: Starting up hot standby process

R2(config-if)#

00:28:46: SB: Fa0/0 Interface up

00:28:46: SB10: Fa0/0 Init: a/HSRP enabled

00:28:46: SB10: Fa0/0 Init -> Learn

00:28:46: SB: Fa0/0 Sbstate adv start

00:28:46: SB: Fa0/0 Sbstate adv out, Passive, active 0 passive 1

00:28:46: SB10: Fa0/0 Hello in 10.1.1.1 Active pri 100 ip 10.1.1.101

00:28:46: SB10: Fa0/0 Learn: h/Hello rcvd from lower pri Active router (100/10.1.1.1)

00:28:46: SB10: Fa0/0 Active router is 10.1.1.1

00:28:46: SB: Fa0/0 Add active hash 10.1.1.1 (vIP 0.0.0.0)

00:28:46: SB: Fa0/0 Sbstate adv out, Passive, active 0 passive 1

00:28:46: SB10: Fa0/0 Learn: n/Standby IP address configured

00:28:46: SB10: Fa0/0 Learn -> Listen

R2(config-if)#

00:28:48: SB10: Fa0/0 Hello in 10.1.1.1 Active pri 100 ip 10.1.1.101

R2(config-if)#

00:28:51: SB10: Fa0/0 Hello in 10.1.1.1 Active pri 100 ip 10.1.1.101

R2(config-if)#

00:28:54: SB10: Fa0/0 Hello in 10.1.1.1 Active pri 100 ip 10.1.1.101

R2(config-if)#

00:28:56: SB: Fa0/0 Sbstate adv out, Passive, active 0 passive 1

00:28:56: SB10: Fa0/0 Listen: d/Standby timer expired (unknown)

00:28:56: SB10: Fa0/0 Listen -> Speak

00:28:56: SB10: Fa0/0 Hello out 10.1.1.2 Speak pri 100 ip 10.1.1.101

00:28:57: SB10: Fa0/0 Hello in 10.1.1.1 Active pri 100 ip 10.1.1.101

R2(config-if)#

00:28:59: SB10: Fa0/0 Hello out 10.1.1.2 Speak pri 100 ip 10.1.1.101

00:28:59: SB10: Fa0/0 Hello in 10.1.1.1 Active pri 100 ip 10.1.1.101

R2(config-if)#

00:29:02: SB10: Fa0/0 Hello out 10.1.1.2 Speak pri 100 ip 10.1.1.101

00:29:02: SB10: Fa0/0 Hello in 10.1.1.1 Active pri 100 ip 10.1.1.101

R2(config-if)#

00:29:05: SB10: Fa0/0 Hello out 10.1.1.2 Speak pri 100 ip 10.1.1.101

00:29:05: SB10: Fa0/0 Hello in 10.1.1.1 Active pri 100 ip 10.1.1.101

00:29:05: SB: Fa0/0 Sbstate adv out, Passive, active 0 passive 1

R2(config-if)#

00:29:06: SB10: Fa0/0 Speak: d/Standby timer expired (unknown)

00:29:06: SB10: Fa0/0 Speak -> Standby

00:29:06: %STANDBY-6-STATECHANGE: Standby: 10: FastEthernet0/0 state Speak -> Standby

clip_image062

clip_image064

只有Active会显示vip和vmac

当R1f0/1down掉是 R2会在10s内变为active状态并产生vip和vmac

clip_image066

clip_image068

抢占

抢占(preempt),当收到的hello包中优先级发生变化时,会重新选举active

clip_image070

clip_image072

在R1上启动HSRP并配置抢占,然后在R2上启动HSRP观察

clip_image074

虽然同样没有配置Vip但是还是能抢占成功

clip_image076

但当SW只有上行口DOwn时,不会Active切换

此时我们down掉R2的F0/1

clip_image078

clip_image080

clip_image082

clip_image084

当Pc ping 3.3.3.3时就会显示阻止发送ICMP的重定,因为如果发生ICMP的重定向就会让PC产生一条ARP记录,主机自动学习到真实的网关地址,当R3恢复时就无法进行线路切换,同时并告诉10.1.1.1不包含在活动组中,将由R1转发流量

TRACK 接口跟踪

Track是针对上面上行链路down掉情况的优化,当F0/1接口当了时,自动将f0/0接口优先级减少,让出active地位,前提是要开启抢占。

clip_image086

clip_image088

此时R2为active我们down掉R2的F0/1

clip_image090

clip_image092

R1变成active R2为 Standby 并且优先级降10

clip_image094

多组

既实现网关冗余有实现负载分担

clip_image096 clip_image098

R1 R2

clip_image100

clip_image102

然后在添加一台PC网关指向10.1.1.102

clip_image104

clip_image106

当R1的f0/1down掉时会自动切换到R2转发

clip_image108

standby use-bia (使用此命令支持多组,在一个路由器上启用多个HSRP组)

认证

standby 1 authentication 密码 (仅支持8位明文认证)

VRRP(virtual  route redundancy protocol)业界标准 IP包中协议号112

和HSRP工作原理相同,只是可以用真实设备地址。

分为主路由器master和备用路由器backup

・ VRRP和HSRP主要区别:

1、在VRRP中,备用路由器不发送通告,所以主路由器并不知道当前的备用路由器。

2、主路由器每1秒钟发一次hello

3、VRRP中,没有针对上行线路DOWN时的track技术

虚拟MAC地址是以0000.5e开头,00.01代表VRRP,最后两位数是组号

例如:组10的MAC地址是0000.5e00.010A

当虚拟IP地址设置为一台路由器的实际接口地址时,这台路由器的优先级就会变为255,自动成为master

默认启用Preempt。抢占

GLBP(gateway  load  balancing  protocol)

clip_image110

HSRP和VRRP都提供冗余网关,可同时只有一个网关在使用,带宽没有充分利用。GLBP旨在自动选择和同时使用多个可用网关,实现负载均衡。并检测活动网关故障并切换到冗余路径。

・GLBP中,虚拟路由器只有一个虚拟的IP地址,但可以有多个虚拟的MAC地址

clip_image112

・AVF(Active Virtual Forwarder)活动虚拟转发者 GLBP组最多用4台网关

AVG(Active Virtual Gateway)活动虚拟网关 从网关中会选出一个来管理其他AVF。只有AVG响应ARP请求。

也可以有一个AVG,四台AVF,但是那台AVG不能成为AVF,也就是说它不能转发数据。

clip_image114

・AVG可以分配虚拟的MAC地址给AVF

・AVG也会有一个Active的,和一个standby的

・默认模式,GLBP以循环方式来负载均衡。向请求IP地址的主机发不同的MAC地址。

・手工配置抢占

・hello包发向组播地址:224.0.0.102   UDP端口号3222

・hello时间3 S,holdtime时间10 S

・每一个设备都会发包

R2(config-if)#glbp 1 ip 192.168.1.1

R2(config-if)#glbp 1 times 5

R2(config-if)#glbp 1 priority 120

你可能感兴趣的:(职场,网关,冗余,休闲,lav)